Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации

Ордена Трудового Красного Знамени

Федеральное государственное бюджетное образовательное учреждение высшего образования

«Московский технический университет связи и информатики»

Информационные технологии

Кафедра Информационная безопасность

дисциплина «Анализ защиты компьютерных сетей от внешних вторжений»

Лабораторная работа №4

Выполнил:

****

Проверил:

Мурашко Ю.В.

Москва 2024

Y

1. Цель работы 3

2. Задания 3

3. Теория 3

4. Передача хешей паролей с помощью mimikatz 4

4.1 Передача хеша по протоколу NT LAN Manager 5

5. Ответы на вопросы 6

6. Вывод 7

1. Цель работы

Узнать, где хранятся пароли, а также научиться извлекать хеши паролей из памяти машины Windows.

2. Задания

• Создание виртуальной лаборатории Windows; • Извлечение хешей паролей с помощью mimikatz; • Передача хеша по протоколу NT LAN Manager.

3. Теория

Windows — группа семейств коммерческих проприетарных операционных систем корпорации Microsoft, ориентированных на управление с помощью графического интерфейса. MS-DOS — является прародителем Windows. Каждое семейство обслуживает определённый сектор компьютерной индустрии.

Mimikatz — это приложение с открытым исходным кодом, которое позволяет пользователям просматривать и сохранять учетные данные аутентификации, такие как тикеты Kerberos. Бенджамин Делпи продолжает руководить разработкой Mimikatz, поэтому набор инструментов работает с текущей версией Windows и включает самые современные виды атак. Злоумышленники обычно используют Mimikatz для кражи учетных данных и повышения привилегий: в большинстве случаев программное обеспечение для защиты конечных точек и антивирусные системы обнаруживают и удаляют его. И наоборот, специалисты по тестированию на проникновение используют Mimikatz для обнаружения и тестирования уязвимостей в ваших сетях, чтобы вы могли их исправить.

NT LAN Manager (NTLM) — это протокол Windows, позволяющий пользователям аутентифицироваться на других компьютерах в сети, используя хеш своего пароля.

4. Передача хешей паролей с помощью mimikatz

Рисунок 1 – запуск виртуальной лаборатории Windows

Рисунок 2 – Кодирование исполняемых файлов mimikatz в Kali Linux

Рисунок 3 – Просмотр групп пользователей

Рисунок 4 – Запуск файла, содержащего mimikatz

Рисунок 5 – Приказываем mimikatz запустить привилегии отладки

Рисунок 6 – Извлекаем хеши из памяти

1. Передача хеша по протоколу NT LAN Manager

Выполним атаку.

Рисунок 7 – Загрузка одного из хешей

5. Ответы на вопросы

• Где и как хранятся пароли в OC Windows?

Процесс LSSAS содержит хеши паролей и токены безопасности (security token), а также управляет процессом аутентификации и взаимодействия с контроллером домена.

• Что такое контроллер домена?

Контроллер домена представляет собой сервер, отвечающий за хранение информации о пользователях и управление политикой сетевой безопасности.

• Как происходит передача хеша по протоколу NT LAN Manager?

В ходе этого процесса происходит обмен несколькими сообщениями. Когда пользователь аутентифицируется в системе с помощью своих учетных данных, компьютер сохраняет имя пользователя и хеш пароля, а затем, как правило, удаляет пароль в виде открытого текста. Когда пользователь пытается получить доступ к серверу или сетевой папке, операционная система отправляет этому серверу соответствующее имя пользователя. В ответ сервер отправляет сообщение, известное как вызов (challenge message), представляющее собой 16-байтовое nonce-число. Затем клиент шифрует это nonceчисло с помощью хеша пароля пользователя и отправляет его серверу. Зашифрованное nonce-число обычно называется ответом на вызов (challenge response). Затем сервер пересылает имя пользователя, ответ и вызов контроллеру домена. Контроллер домена представляет собой сервер, отвечающий за хранение информации о пользователях и управление политикой сетевой безопасности. Получив ответ на вызов, контроллер домена проверяет его, сопоставляя с хешем пароля пользователя в базе данных. Затем использует этот хеш для расшифровки nonce-числа, содержащегося в ответе на вызов. Если nonce-числа совпадут, то контроллер домена отправит серверу сообщение о том, что аутентифицировал пользователя, и тогда сервер предоставит пользователю доступ. Если злоумышленнику удастся получить хеш пароля пользователя, то ему не придется взламывать его для получения доступа к другой машине. Злоумышленник просто использует хеш, извлеченный из памяти компьютера, для шифрования ответа на запрос и прохождения аутентификации с помощью контроллера домена.

6. Вывод

В ходе лабораторной работы я узнал, где хранятся пароли, а также научился извлекать хеши паролей из памяти машины Windows.